Vulnerabilidad en Cisco Enterprise Chat and Email (CVE-2025-20139)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

02/04/2025

Última modificación:

06/08/2025

Descripción

Una vulnerabilidad en las funciones de mensajería de chat de Cisco Enterprise Chat and Email (ECE) podría permitir que un atacante remoto no autenticado provoque una denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación incorrecta de la información proporcionada por el usuario en los puntos de entrada del chat. Un atacante podría explotar esta vulnerabilidad enviando solicitudes maliciosas a un punto de entrada del chat de la aplicación afectada. Si se explota con éxito, el atacante podría provocar que la aplicación deje de responder, lo que provocaría una denegación de servicio (DoS). Es posible que la aplicación no se recupere por sí sola y que un administrador deba reiniciar los servicios manualmente.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:cisco:enterprise_chat_and_email::::::::		12.6\(1\)es10 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ece-dos-tC6m9GZ8